WordPressを常時SSL化（https化）するメリットと設定方法を解説

 
WordPressを運用する際の基礎知識として、ぜひとも覚えておきたいのが常時SSL化についてです。

SLLとは、WordPressの通信を暗号化することでセキュリティを強化する技術で、一昔前までは秘匿したいデータの送受信を行う場面でのみ利用されていました。

しかし、現在ではSEO対策で有利になることから、全ての通信を暗号化する「常時SSL化」がスタンダードになりつつあります。

今回は、WordPressをSSL化するメリットと、SSL化の作業手順について解説します。

WordPressの設定をしていると、「SSL」という言葉を頻繁に見かけるはずです。

SSL（Secure Sockets Layer）とは、インターネットの通信を暗号化するプロトコルで、相手サーバーの認証、通信内容の暗号化、改ざんの検知などの技術がまとめられた規格です。

SSK化された通信では、通信プロトコルがHTTP（Hyper Text Transfer Protocol）からHTTPS（Hypertext Transfer Protocol Secure）に切り替わり、URLの先頭が「https://」になります。

また、SSL下の通信では、ブラウザのアドレス欄に鍵のアイコンが表示され、通信内容が保護されていることが通知されます。

これまでSSLは、一般的なウェブサイトでは、金融関連の情報のやり取りやパスワードの送信などの限られた領域でのみ適用されてきました。

しかし今日では、データの盗聴や改ざんの手口が複雑化していることから、サイトの通信全体を暗号化する「常時SSL」がスタンダードになりつつあります。

実際にGoogleは、常時SSLをサイトの検索順位の決定要因に含めることを公式に表明しており、2019年の時点ではGoogleの検索結果に表示されるサイトの93％がSSLに対応済みという状況になっています。

また、検索エンジンのみならず、ウェブブラウザでもSSL化されていないサイトは安全性に欠けると見做すようになっています。

例えば、Safariで常時SSL化されていないWordPressのトップページを開いてみましょう。

Safariのアドレスバーに「安全ではありません」という警告が表示されており、この警告はこのWordPressのサイトを表示している間は表示され続けます。

また、Google Chromeで、常時SSL化されていないWordPressを開いた場合も同様です。

Google Chromeではアドレスバーに「保護されていない通信」と表示されています。

サイトをブラウザで開いたときに、常時このような警告が表示されるのは、サイトを訪れたユーザーに対して強い不安を与えることになるでしょう。

こうした動きもあって、サイトの通信全体を暗号化する常時SSLは、今日ではサイトを運用する際には欠かすことのできない標準の対応となっています。

常時SSL化には様々なメリットがありますが、その中でも特に重要な3つのポイントについて確認しておきましょう。

暗号通信であるSSLにより、サイトのセキュリティが向上します。

インターネットの通信は常に危険にさらされており、偽装されたサイトで個人情報の入力を促すフィッシング詐欺や、通信途中のデータをかすめ取るパケット盗聴などによる被害が多発していますが、サイトを常時SSL化することで、これらの手口によるトラブルのリスクは大きく低減されます。

SSL化されていないサイトを運用していると、気付かないうちにセキュリティ犯罪に加担させられる可能性があり、常時SSL化はサイトを運営する上での管理責任と言えます。

Googleは常時SSL化がサイトの検索順位の評価に影響を与えることを公式に表明しています。

つまり、常時SSL化はSEO対策に有効というお墨付きが得られたということで、これをきっかけに常時SSLは急速に普及しました。

常時SSLがSEOに与える影響は、コンテンツによる優位性を上回るほどではなく、あくまで複数ある評価要素のひとつに過ぎないとされています。

とはいえ、アフィリエイトサイトなどで、ライバルと検索順位の熾烈な競争を繰り広げている場合には、ディテールが勝負を分ける可能性があるため、常時SSL化は必ず対応すべきポイントとなっています。

常時SSL化されたサイトでは、HTTP/2による高速な通信が可能となります。

HTTP/2は2017年に承認されたHTTP（Hyper Text Transfer Protocol）の最新のプロトコルで、サーバーとブラウザ間のデータ通信を、同時並行で大量にやり取りできる仕組みが取り入れられています。

過去にはSSL通信はサーバーに負荷がかかる分、データの送受信が遅くなるという問題点が指摘されたこともありましたが、今日では、最新のHTTPプロトコルであるHTTP/2を利用するには、SSLが導入されていることが前提条件となるため、常時SSL化することによって、サイトの表示はむしろ高速化されるようになっています。

WordPressを常時SSL化する場合、WordPressがインストールされているサーバー側と、WordPress側の両方でSSLの設定が必要になります。

今日では、ほとんどのサーバーがSSLの利用に対応しています。

それはレンタルサーバーも例外ではなく、初心者でも簡単にSSLの登録が可能です。

今回は、「お名前.com」のレンタルサーバーを例に、独自ドメインにSSLを設定する手順を解説します。

「お名前.com」のレンタルサーバーのコントロールパネルにログインし、左メニューから「セキュリティ」をクリックしましょう。

「セキュリティ」の「SSL証明書」をクリックします。

「SSL証明書」が開くので「選択中のドメイン」でSSLを設定したいドメインが選択されていることを確認した上で「申し込む」をクリックします。

「SSL証明書を選択してください」が表示されたら「無料SSL」を選択して「確認する」をクリックします。

「完了しました」が表示されたら、SSL証明書の設定は完了です。

サーバー側でのSSLの設定が終わったら、次はWordPressでSSLの設定を行います。

WordPressの常時SSL化には、プラグインを利用するのが便利です。

WordPress用プラグイン「Really Simple SSL」はSSLの適用だけでなく、それにともなって必要になる混合コンテンツ修正や301リダイレクトなどの複数の機能がパッケージ化されたプラグインです。

特に重要なのがリダイレクトの処理で、SSL化にともないURLの先頭部分が「http://」から「https://」に変更になるため、前者のURLへのアクセスを後者のURLへと301リダイレクトさせなければなりませんが、「Really Simple SSL」ではその設定も同時に行ってくれます。

なお、「Really Simple SSL」でSSL化を行った後は、サイト全体のURLが変更になるため、SSL導入のアクセス数が正確に計測できなくなります

Google Analyticsに登録してあるURLもそれに合わせて変更しましょう。

「Really Simple SSL」の導入とGoogle Analyticsの設定変更について、具体的な手順を見ていきましょう。

WordPressの管理画面を開き、左メニューの「プラグイン」から「新規追加」をクリックします。

左上の検索欄に「Really Simple SSL」と入力して検索、表示されたら「今すぐインストール」をクリックし、完了したら「有効化」をクリックしましょう。

「Really Simple SSL」を有効化すると「SSLに移行する準備がほぼ完了しました。」と表示されるので、「手動で確認できているなら、SSL検出を上書きします」のチェックボックスを有効にし、「SSLを有効化」をクリックしましょう。

WordPressのSSL化が実行されます。

「進行状態」ではまだ完了していないように見えますが、この段階でSSL化に必要な処理は全て完了しています。

「作業待ち」は確認するだけの項目（詳細は次の章で解説）なので、特に行うべき設定はありません。

管理画面の「設定」の「一般」を開き、「WordPressアドレス（URL）」と「サイトアドレス（URL）」のURLが「https://」になっているのを確認しましょう。

ChromeでWordPressのトップページを開くと「保護されていない通信」の警告が消え、「この通信は保護されています」と表示されるようになっています。

Google Analyticsにログインし、左下の「管理」をクリックしましょう。

「管理」が開いたら「プロパティ」の中にある「プロパティ設定」をクリックしましょう。

「プロパティ設定」の「デフォルトのURL」の欄で、「http://」を「https://」に変更して「保存」をクリックします。

今度は「ビュー」から「ビューの設定」をクリックして開きます。

「ビューの設定」で「ウェブサイトのURL」の「http://」を「https://」に変更して「保存」をクリックすれば、Google Analyticsの設定は完了です。

今回は、WordPressを常時SSL化するメリットと方法について解説しました。

ウェブサイトの常時SSL化は、今日では当たり前に行うべき設定となりつつあります。

確かに常時SSL化を行わずとも表向きのサイトの運営に支障はありませんが、ウェブブラウザと検索エンジンが常時SSL化されたサイト以外を排除する方向に動いているため、常時SSL化を無視するのは難しくなっています。

SSL化の有無は、検索エンジンの順位決定の評価に響くことから、アクセス数を重視するサイトにとって重要なるのはもちろんですが、ブラウザのアドレスバーにセキュリティの警告が常に表示されるというのも非常にイメージが悪く、サイトを訪れたユーザーに不安を抱かせることになります。

どのような種類のサイトであっても、常時SSL化はもはや常識であると考えて、早急に対策をすることをおすすめします。

誰でも10分！WordPressブログの始め方
ブログを始めるには、ライブドアブログやはてなブログといった無料ブログを使う方法、あるいはWordPressなどを使用する方法があります。

まだWordPressを持っていない人でも、簡単に準備できる方法を以下の記事で解説しています。

初心者でもわずか10分で始められるので、参考にしてみてください。

「お名前.com」は、国内No.1のドメイン登録サービス。
独自ドメインと合わせて、WordPressの自動インストールに対応したレンタルサーバーも利用できます。
WordPressや独自ドメインを一度も使ったことのない人でも、スムーズに始められるはず。

独自ドメインを取得しようと考えている方は、以下のリンクから、ぜひご利用ください。